Kriterien für Messenger-Apps

Einfach sicherer kommunizieren

Daten durchgängig verschlüsseln

So läuft die Kommunikation vollständig verschlüsselt ab: Auch der Diensteanbieter erhält keinen Einblick in die versendeten Daten.
So läuft die Kommunikation vollständig verschlüsselt ab: Auch der Diensteanbieter erhält keinen Einblick in die versendeten Daten.
Foto: Digittrade

Damit es nicht zum Verlust oder gar Diebstahl von Daten kommt, heißt es: Augen auf bei der Wahl einer zuverlässigen Kommunikations-App. Seit der öffentlichen Diskussion um geheimdienstlich organisierte Spionage und zunehmender Cyberkriminalität sind Unternehmen und Mitarbeiter stärker sensibilisiert für das Thema.

Auf das gesteigerte Sicherheitsbewusstsein reagieren die Anbieter, indem sie zunehmend Verschlüsselungstechnologien in ihre Dienste implementieren. Diese bilden zwar einen wichtigen Sicherheitsbaustein, doch gibt es auch hier qualitative Unterschiede. Daher gilt es einige Faktoren zu beachten. So spielt die Art der Verschlüsselung eine zentrale Rolle - selbst bei der eigentlich sicheren Ende-zu-Ende-Verschlüsselung (E2E). Hier kommt es auf den eingesetzten Algorithmus und die daraus resultierende Schlüssellänge an. Grundsätzlich gilt: Je länger der Schlüssel, desto sicherer die Daten.

Darüber hinaus ist entscheidend, ob die App den Schlüssel auf dem Server oder dem Endgerät generiert und speichert. Erzeugt der Messenger den Schlüssel auf dem Server und verteilt diesen anschließend an die Endgeräte so findet zwar eine E2E-Verschlüsselung statt, dennoch ist über den Server ein Zugriff auf die Daten möglich. Schlüssel sollten daher ausschließlich auf dem Endgerät des Nutzers erstellt und abgelegt werden.

Um die Sicherheit zusätzlich zu erhöhen, bieten einzelne Messenger die Möglichkeit Nachrichten zu zerstören. Die Daten werden vollständig von den Endgeräten gelöscht.
Um die Sicherheit zusätzlich zu erhöhen, bieten einzelne Messenger die Möglichkeit Nachrichten zu zerstören. Die Daten werden vollständig von den Endgeräten gelöscht.
Foto: Digittrade

Das gleiche gilt für die versendeten Daten an sich. In den meisten Fällen speichern Messenger-Anbieter diese auf ihren Servern. Ob diese dort verschlüsselt oder unverschlüsselt vorliegen, ist in der Regel nicht ersichtlich. Hier empfehlen sich Lösungen, die Daten komplett verschlüsseln und nicht dauerhaft auf Servern speichern. Sobald die Daten an den Empfänger übermittelt sind, erfolgt ein automatisierter Löschvorgang vom Server. Aufgrund der Verschlüsselung kann der Service-Anbieter keinen Einblick auf die Inhalte der Daten erlangen, auch wenn diese kurzzeitig auf den Servern zwischengespeichert sind.

Dieser Aspekt ist auch bei Gruppenchats beispielsweise für Teambesprechungen wichtig, in denen die Teilnehmer Dokumente, Präsentationen oder Videos miteinander teilen. Sichere Messenger speichern sämtliche Gruppeinformationen dezentral. Das bedeutet sie liegen ausschließlich auf den Geräten der Teilnehmer. Dadurch ist sogar dem Dienstanbieter nicht ersichtlich, welcher Nutzer sich in einer Gruppe befindet.

Mitleser und -hörer ausschließen

Ebenso wichtig ist die Frage, ob die App versendete Textnachrichten, Bilder oder Telefonate automatisch immer verschlüsselt. Nicht zu jeder App gibt es dazu öffentliche Aussagen der Anbieter. Einige Messenger wie beispielsweise Telegram überlassen Nutzern hingegen die Wahl, ob sie optional einen verschlüsselten Chat starten oder nicht. Um auf Nummer sicher zu gehen, sollten Unternehmen auf klare Statements und Verbindlichkeiten der Anbieter achten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt für kryptographische Verfahren Empfehlungen und technische Richtlinien heraus. Aktuell gelten die Verfahren als sicher, die in den BSI-Empfehlungen BSI TR-02102-1 und TR-03111 aufgelistet sind.

Kommunikations-Apps besitzen heute verschiedenste Funktionalitäten wie Sprachnachrichten oder Telefonie aus dem Messenger heraus. Hier lautet das Stichwort: Abhörsicherheit. Der Aufwand gängige Mobiltelefone abzuhören, ist gering. Die dafür notwendige Technik gibt es bereits ab 1.000 Euro. Sogenannte IMSI-Catcher sind baulich relativ klein und problemlos in einem Kofferraum deponierbar. Diese Abhöreinrichtungen geben gegenüber Mobilgeräten vor, ein Funkmast zu sein und überlagern die Signale legitimer Masten. In einem gewissen Umkreis verbinden sich die Mobiltelefone automatisch mit dem stärkeren Signal des IMSI-Catcher, ohne dass der Nutzer etwas merkt. Solange das Mobilgerät mit der Abhörfunkzelle in Verbindung steht, ist kein Telefonat geschützt.

Andere Einrichtungen umgehen sogar den relativ sicheren UMTS-Standard und zwingen das Handy, den GSM-Standard mit schlechterer Verschlüsselung zu verwenden. Das Abhören von internetbasierter Kommunikation oder Voice over IP (VoIP) ist in der Regel noch einfacher. Den Tätern genügt oft der Zugang zum Netzwerk beispielsweise über eine angezapfte Leitung oder über das WLAN. Via ARP-Spoofing erhalten sie dann Zugriff auf die gesamte unverschlüsselte Kommunikation. Beinhalten Kommunikations-Apps verschlüsselte Telefonie, ist solchen Angriffen leicht vorzubeugen.